Дані 20 млн користувачів VPN-сервісів опинились у відкритому доступі. Заборона розповідає, до чого це може призвести, та як захиститися | Заборона
Читаєте зараз
Дані 20 млн користувачів VPN-сервісів опинились у відкритому доступі. Заборона розповідає, до чого це може призвести, та як захиститися

Дані 20 млн користувачів VPN-сервісів опинились у відкритому доступі. Заборона розповідає, до чого це може призвести, та як захиститися

Персональні дані 20 млн користувачів безкоштовних VPN-сервісів опинились у відкритому доступі. Відтепер цю інформацію можуть використовувати для спаму, фішингових розсилок, шантажу та навіть переслідування юзерів у країнах із авторитарними режимами і жорсткою цензурою в інтернеті. Журналіст Заборони Самуїл Проскуряков розповідає, як працює VPN і чому не варто довіряти безкоштовним сервісам, які нібито обіцяють анонімність у мережі.

Що сталося?

16 липня дослідницька група vpnMentor повідомила, що у відкритому доступі опинилися персональні дані понад 20 млн користувачів безкоштовних VPN-сервісів. На незахищеному сервері зберігаються дані популярних застосунків зокрема електронні адреси, незашифровані паролі, IP- і домашні адреси, дані про моделі смартфонів та ідентифікатори пристроїв користувачів. Загальний обсяг даних – 1,2 терабайта. Це майже 10 смартфонів місткістю 128 гігабайт або близько 600 годин HD-відео. У багатьох застосунків понад 1 млн завантажень у Google Play і App Store, а рейтинг – вище 4,5.

Кожен із цих VPN-сервісів стверджував, що не вимагає реєстрації користувачів, тобто не мав реєструвати активність юзерів. Але дослідники vpnMentor виявили кілька записів дій користувачів на загальному сервері. Такий витік демонструє повне нехтування правилами безпеки, яке ставить під загрозу користувачів, констатує vpnMentor.

Icons8 / Natasha Remarchuk

Що таке VPN?

Абревіатура розшифровується як Virtual Private Network, тобто віртуальна приватна мережа. Це загальна назва, яка включає різні мережеві протоколи тунелювання та алгоритми шифрування. 

У випадку з вищевказаними сервісами, працює це приблизно так: ви зі свого пристрою (комп’ютера чи телефона) приєднуєтеся до серверів VPN-сервісу, а вже далі до тих ресурсів в інтернеті, які вас цікавлять. Сайт, на який ви прийшли, бачить, що ви завітали із серверів VPN-сервісу, які можуть бути розташовані будь-де, але не знає IP-адреси вашого пристрою. При цьому ваш інтернет-провайдер, який, власне, і видає вашому пристрою цю IP-адресу, бачить, що ви з’єднуєтесь із серверами VPN-провайдера, але не знає, куди ви пішли далі.

Тобто технологія дає змогу приховати вашу IP-адресу та місце розташування, а також зашифрувати ваші інтернет-дані і трафік, аби захиститися від стеження уряду, інтернет-провайдера або кіберзлочинців.

І ніхто не буде знати, на які сайти я заходжу?

Ні, це не так. Власник VPN має такі самі можливості, як і ваш інтернет-провайдер: бачити, які сайти ви відвідуєте, читати всю інформацію, якщо вона передається у незашифрованому вигляді. Тобто, повністю приховати всю інформацію у вас не вийде. 

Якщо з інтернет-провайдером ви укладаєте угоду і щонайменше розумієте, що ця юридична особа працює за законодавством України і може бути притягнута до відповідальності, то про власників VPN можете нічого не знати взагалі.

У чому небезпека?

VPN-провайдер може зберігати ваші дані, видавати їх за запитом правоохоронним органам, ділитися ними із рекламодавцями, аналітичними компаніями та корпораціями. Крім того, VPN-провайдер може використовувати менш надійні протоколи та алгоритми, або ж недостатньо надійно захищати дані користувачів, чим можуть скористатися зловмисники. І, звісно ж, злочинці самі можуть видавати себе за безкоштовного VPN-провайдера, наприклад, під виглядом розширення в браузері чи застосунку для смартфона.

На початку 2017 року фахівці Австралійської державної організації наукових і промислових досліджень разом із науковцями з Університету Нового Південного Уельсу та Каліфорнійського університету в Берклі опублікували результати дослідження майже трьохсот VPN-застосунків для Android. Багато з них працювали некоректно. Деякі зовсім не шифрували трафік, інші – стежили за користувачами.

У підготовці матеріалу допомагали експерти «Лабораторії цифрової безпеки» Антон Кушнір і Максим Луночкін, а також хактивіст «Українського Кіберальянсу» Шон Таунсенд.

Нагору